Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4. im Auftrag der ergovia GmbH

Transkript

1 Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4 im Auftrag der ergovia GmbH datenschutz cert GmbH 19. September

2 Inhaltsverzeichnis 1. Vorbemerkung 3 2. Zeitraum der Prüfung 3 3. Antragstellerin 3 4. Sachverständiger/Prüfstelle 3 5. Kurzbezeichnung des IT-Produkts 3 6. Beschreibung des IT-Produkts 3 7. Tools, die zur Herstellung des Produkts verwendet wurden 4 8. Zweck und Einsatzbereich 4 9. Modellierung des Datenflusses Version des Anforderungskatalogs Zusammenfassung der Prüfergebnisse Datensparsamkeit Sperrung, Löschung, Anonymisierung, Pseudonymisierung Transparenz Zulässigkeit der Datenverarbeitung Zweckbindung, Trennungsgebot Auftragsdatenverarbeitung Authentizität, Integrität und Vertraulichkeit Verfügbarkeit Vorabkontrolle, Verfahrensverzeichnis, Datenschutzbeauftragter Pflichten nach DSVO Datenschutzrechte der Betroffenen Gesamtbewertung im Überblick Beschreibung, wie das IT-Produkt den Datenschutz fördert Votum der Auditoren 21 Seite 2 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

3 1. Vorbemerkung Mit diesem Kurzgutachten werden die Ergebnisse der Auditierung des IT-Produkts stepnova in der Version 4 gemäß Datenschutzgütesiegelverordnung (DSGSVO) 1 zusammengefasst. 2. Zeitraum der Prüfung Die Auditierung erstreckte sich auf den Zeitraum von bis und beinhaltete eine konzeptionelle Analyse der zur Verfügung gestellten Unterlagen sowie Besichtigungen des Testsystems, zuletzt in der Patch-Version Darüber hinaus sind die Webseiten und der Authentifizierungsvorgang getestet worden. 3. Antragstellerin Antragstellerin dieses Gutachtens ist die ergovia GmbH Knooper Weg Kiel. Ansprechpartnerin ist Frau Silke Buschtöns. 4. Sachverständiger/Prüfstelle Sachverständige dieses Gutachtens ist die Prüfstelle datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen unter der Leitung von Herrn Dr. Sönke Maseberg (Technik) und Frau Irene Karper (Recht). Ansprechpartner für diese Begutachtung sind Frau Dr. Irene Karper (Recht) und Herr Ralf von Rahden (Technik). 5. Kurzbezeichnung des IT-Produkts Begutachtet wird stepnova in der Version 4. Es umfasst die Produktvarianten: --- stepnova Professional Edition, --- stepnova Basic Edition, --- stepnova Starter Edition, --- stepfolio. 6. Beschreibung des IT-Produkts stepnova ist ein webbasierendes Datenbanksystem zur Organisation im Bildungssektor. Das System ist online unter der URL 2 bzw. erreichbar. Der Login für Anwender erfolgt unter bzw. 1 Landesverordnung über ein Datenschutzgütesiegel (Datenschutzgütesiegelverordnung DSGSVO) v , GVOBl. Schl.-H. 2013, S.536ff. 2 Alle genannten Webseiten-Referenzen waren zum Abschluss des Audits im September online erreichbar. Seite 3 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

4 Informationen und Handbücher sind ferner unter abrufbar. stepnova ist eine Fortentwicklung des Produktes STEP!basis, welches zuletzt im Jahre 2003 von der Prüfstelle datenschutz nord GmbH auditiert und gemäß DSAVO zertifiziert wurde Tools, die zur Herstellung des Produkts verwendet wurden Es wurden keine datenschutz-relevanten Tools eingesetzt. 8. Zweck und Einsatzbereich stepnova Professional, stepnova Basic und stepnova Starter Edition unterstützen Maßnahmen der beruflichen Bildung. Sie werden bei der elektronischen Maßnahmeabwicklung der Bundesagentur für Arbeit sowie für Jobcentermaßnahmen (z.b. für die berufliche Weiterbildung) und von Bildungseinrichtungen eingesetzt. Mit stepfolio erfolgt die Verwaltung und Dokumentation in Kindertagesstätten. Im Hauptmenü sind Arbeitsbereiche, Bereiche und Editoren erreichbar. Abbildung 1: Hauptmenü am Beispiel stepnova Professional Edition 3 Das Zertifikat des Unabhängigen Landeszentrums für Datenschutz wurde unter der Nummer 7-10/2003 erteilt und war befristet bis Damals firmierte die ergovia GmbH noch unter dem Namen ergo!via GmbH. Seite 4 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

5 Alle Produktvarianten sind Varianten desselben technischen Systems, welche für den Anwender auf verschiedene Anwendungsbereiche (AB), Bereiche (B) und Editor-- Funktionen (E) zugeschnitten ist. Welche Funktionen welcher Variante zugeordnet sind, ergibt sich aus folgender Abbildung (Hinweis: x = verfügbar): Abbildung 2: Übersicht Produktvarianten + Funktionsumfang Ferner gibt es übergreifend die Module Anonymisierung und Abrechnung. Im Arbeitsbereich Anwesenheit erfolgt die Dokumentation der Anwesenheit von Teilnehmern. Im Arbeitsbereich Beratung können Gesprächsdokumentation verwaltet werden. Im Arbeitsbereich Beruf werden Daten zu betrieblichen Arbeitsverhältnissen, Bewerbungsaktivitäten der Teilnehmer und Vermerke erfasst. Im Arbeitsbereich der elektronischen Maßnahmeabwicklung erfolgt die em@w- Kommunikation. Der Arbeitsbereich Förderplanung (FöP/LuV) ermöglicht eine Planung von Fördermaßnahmen bzw. eine Leistungs- und Verhaltensbeurteilung. Hier werden u.a. Kompetenzen, Maßnahmenziele, Verlauf oder Kurspläne dokumentiert. Dies dient als Grundlage der em@w-kommunikation. Seite 5 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

6 Ferner kann ein individueller Arbeitsbereich ( Individuell ) nach den Anforderungen des Anwenders eingerichtet werden (z.b. Formulare). Im Arbeitsbereich Portfolio können Entwicklungsstände dokumentiert werden, z.b. anhand von Fotos oder über in Fortbildungen erlernte Fähigkeiten. Hervorzuheben ist, dass die Einbindung von Fotos nicht zum Standardumfang des Produktes gehört und optional hinzugebucht werden kann. Zudem wird der Anwender in einem eigens für Datenschutzhinweise entwickelten [Datenschutzhinweisblatt] auf den rechtskonformen Umgang mit Personenfotos und eine strenge Prüfung zur Freischaltung dieses Moduls sensibilisiert. Es enthält z.b. auch einen Hinweis, dass Fotos nicht unerwünscht zu Clouddiensten hochgeladen werden. Im Arbeitsbereich Qualifizierung werden Teilnahmen an Unterrichtseinheiten, Kursen oder Modulen eines Teilnehmers erfasst. Bei Teilnehmerdaten sind neben Stammdaten u.a. schulische und berufliche Daten über Zeugnisse, Lebenslauf, Sprachkenntnisse und Hobbys, Maßnahmen, Maßnahme- bzw. Kursgruppen, Ein- und Austritte, Angaben zu Kindern, Religionszugehörigkeit und Bankdaten sowie Angaben zu Personen, welche diesen Teilnehmer betreuen (im Sinne von Maßnahmencoaching) hinterlegt. Im Bereich Administration können Standortstruktur (Abteilungen, Fachbereiche) nachgebildet und die Subadministrationen eingerichtet werden (also z.b. weitere Administratoren oder Administratoren, welche nur eingeschränkte Administrationsrechte besitzen). Ferner können Benutzerprofile, Bedienoberflächen und Wertvorgaben für Felder verwaltet werden. Im Bereich Abrechnung erfolgt die Einrichtung und Abrechnung teilnehmerbezogener Kosten (z.b. Maßnahmevergütungen, Verpflegungsgeld). Im Bereich Anonymisierung kann der Administrator des Anwenders Teilnehmerdatensätze löschen. Werte, die für eine spätere statistische Auswertung hilfreich sind, werden im Bereich Anonymisierungsdaten als Liste ohne Teilnehmerbezug dargestellt. Der Zeitpunkt der Anonymisierung richtet sich dabei nach dem Maßnahmeende der Teilnehmer. Der Bereich Ausgabe befinden sich Ausgabemöglichkeiten als Reports. Der Bereich Dokumentarchiv dient der Dokumentarchivierung und versionierung. Hier können z.b. Berichte als Freitext erstellt und hinterlegt werden. Der Bereich Kontaktarchiv können Kontaktdaten verwaltet und gepflegt werden. Im Bereich Nachrichten werden Nachrichten und automatische Erinnerungen für den em@w-austausch mit der Arbeitsagentur angelegt und verwaltet. Im Bereich Personaldaten werden die Grunddaten für das Personal des Anwenders hinterlegt. Hier können auch Berechtigungen gepflegt werden. Im Bereich Suche können Informationssuchen vorgenommen werden. Auch hier greift das Berechtigungs- und Rollenkonzept, so dass nur Treffer nach der entsprechenden Berechtigung angezeigt werden. Seite 6 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

7 Im Bereich Vermerke können zu den Teilnehmern Vermerke erstellt werden. Die Vermerke können nur für den jeweils erstellenden Anwender oder eine Gruppe von berechtigten Personen zugänglich gemacht werden. stepnova verfügt schließlich über Editoren, welche dem Anwender ermöglichen, individuelle Anpassungen und Erweiterungen für die Datenbank vorzunehmen. Hierzu gehört etwa die Erstellung von Druck- und Formularvorlagen oder das Anlegen von Gruppen. Auch eine Raum- und Hardwareplanung ist möglich. stepnova verfügt über ein abgestuftes Rollen- und Berechtigungskonzept. Für den Benutzer können die Rechte genau zugeschnitten werden. Die Zugriffberechtigung wird über die integrierte Benutzerverwaltung (wie für alle anderen Menüpunkte und Datenfelder auch) restriktiv behandelt. Hierdurch wird ausgeschlossen, dass unberechtigte Personen Kenntnis von den dort vermerkten Daten erhalten. Dazu gibt es ein Formular, in dem die benötigten Rechte (Lesen, Neueintrag, Bearbeiten, Löschen) für Arbeitsbereiche, Bereiche und Editoren einzeln ausgewählt werden können. Es gibt zwei Administratoren-Rollen bei der ergovia GmbH: Den Administrator und den Support. Ersterer hat Vollzugriff auf alle Systeme, letzterer hat nur Zugriff auf den Tomcat-Dienst (dazu sogleich). stepnova besteht aus den folgenden Komponenten: --- Webserver (Apache) --- Tomcatserver --- Datenbankserver (Postgres) --- Jumpserver --- Docserver. Der Webserver nimmt Anfragen des Clients entgegen und leitet diese im internen Netz an die Tomcatserver weiter. Ferner terminiert er das SSL und das LoadBalancing auf die Tomcatserver. Ein weiterer Webserver liefert statische Seiteninhalte aus. Der Tomcatserver führt die Applikationslogik aus, beschafft und verarbeitet die Daten und bereitet diese für die Anzeige auf. Im Datenbankserver befindet sich die Postgresql-Datenbank. Der Jumpserver wird als administrative Schnittstelle genutzt. Der Zugriff erfolgt mit SSH-Zertifikatsauthentisierung. Die RSA-Schlüssel haben eine Länge von 2048 bit. Der DocServer nimmt Dokumente in beliebigem Format per HTTP entgegen und legt diese im Dateisystem ab. Ferner gibt er Dokumente auf Anfrage heraus. Die Daten werden dabei getrennt nach Mandantennummer aufbewahrt. Die ergovia GmbH aus Kiel ist Hersteller und Anbieter von stepnova. Das Unternehmen führt im Auftrag der Anwender Updates sowie durch und hostet das System in einem unterbeauftragten Rechenzentrum. Die ergovia GmbH wird insofern als Auftragsdatenverarbeiter für den Anwender tätig. Seite 7 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

8 Die NetUSE AG aus Kiel ist seitens der ergovia GmbH mit dem Housing und Hosting der Systeme von stepnova in einem Rechenzentrum in Kiel beauftragt. Die NetUSE AG wird als Unterauftragsdatenverarbeiter tätig. Die ergovia GmbH wird bei der Wartung des Systems zudem durch den Dienstleister Markus Manzke MARE System (kurz MARE System) aus Kiel unterstützt. MARE System übernimmt die Wartung der Online-Server und ist für den Empfang und die Reaktion auf Nagios Alarme sowie den Check auf Updates der SLES-/ Debian-Server- Bewertung (asap einspielen) zuständig und bietet in diesem Zusammenhang den 2nd Level Support an. MARE System ist ebenfalls Unterauftragsdatenverarbeiter. 9. Modellierung des Datenflusses Die folgende Abbildung illustriert die Komponenten und den Datenfluss von stepnova: Seite 8 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

9 Abbildung 1: Datenfluss

10 10. Version des Anforderungskatalogs Basis der Auditierung ist der Anforderungskatalog in der Version Zusammenfassung der Prüfergebnisse stepnova setzt die rechtlichen und technischen Anforderungen vollumfänglich um Datensparsamkeit Aspekte der Datensparsamkeit im Sinne des 3a BDSG bzw. 78b SGB X sowie landesgesetzlicher Vorschriften werden im vollen Umfang erfüllt, indem nur solche Daten verarbeitet werden, die für die Erbringung der Leistung erforderlich sind. Zwar können mithilfe von stepnova umfassend personenbezogene Daten erfasst und verarbeitet werden. Dies ist allerdings den Anforderungen der Leistungsträger und Arbeitsagenturen bzw. der Versorgung der Kinder in den KiTas und den gesetzlichen Berichts- und Dokumentationspflichten geschuldet. Hinsichtlich der Befüllung von Freitextfeldern wird der Anwender zudem durch die Dokumentation [Hinweise_Freitextfelder] auf den datensparsamen und zweckgebundenen Umgang senibilisiert. Das mittels stepnova realisierbare abgestufte Berechtigungskonzept sorgt für einen engen Kreis der Zugriffsberechtigten auf die relevanten Datensätze. Personenbeziehbare Protokolldaten werden soweit wie möglich vermieden. Die Nutzung von stepnova erfolgt über einen Netzwerkanschluss einer Einrichtung, so dass die IP-Adresse nicht auf einzelne Benutzer zurückzuführen ist, sondern nur auf eine juristische Person. Logs, in denen der Benutzername protokolliert wird, wie etwa stepnova_ldap.log oder stepnova_session.log, werden spätestens nach 7 Tagen gelöscht. Das stepnova.log wird aus vertraglichen Verpflichtungen gegenüber dem Anwender 180 Tage gespeichert. Die personenbezogenen Daten in diesem Log betreffen nur Anwender und keine Teilnehmerdaten. Einziges Log, in dem bei Erhöhung des Detaillierungsgrads auf Grund einer Fehlersuche auch personenbezogene Teilnehmerdaten enthalten sein können, ist postgresql84- ***.log auf dem Datenbank-Server. Zugriff haben ausschließlich berechtigte Mitarbeiter der ergovia GmbH. In der Regel ist der Detailgrad niedrig, so dass keine Primärdaten enthalten sind. Das Log wird 14 Tage gespeichert, da die Auswertung für Optimierungszwecke benötigt wird. Dies ist aus Sicht der Auditoren noch tolerabel, da Primärdaten nur bei Auftreten von Fehlern mitgelogged werden und zu dessen Nachvollziehbarkeit erforderlich sind Sperrung, Löschung, Anonymisierung, Pseudonymisierung stepnova stellt in adäquater Weise Mittel zur Sperrung, Löschung, Anonymisierung und Pseudonymisierung zur Verfügung. Eine Sperrung oder Löschung von Teilnehmerdaten kann durch den dazu berechtigten Anwender erfolgen. Durch deine Anonymisierungsfunktion werden Teilnehmerdaten der em@w zudem vertragsbezogen automatisch nach 24 Monaten gelöscht. Nicht-eM@w-bezogene Teilnehmerdaten können anhand vertraglicher Regelungen gelöscht werden, indem der Anwender im Teilnehmerdatensatz Fristen definiert.

11 Durch das Zusammenspiel der Löschfunktionen für Maßnahmegruppen und einem eng definierbaren Berechtigungskonzept werden auch Maßnahmen der Pseudonymisierung gefördert. So können Teilnehmerdaten aus einer Maßnahmegruppe gelöscht werden und bleiben als Stammdatensatz für andere Maßnahmen erhalten, so dass sie nur mit größerem Aufwand durch berechtigte Personen als Pseudonym wieder einer Person zugeordnet werden könnten. stepnova unterstützt den Anwender ferner hinsichtlich der Löschung, Sperrung und Anonymisierung sowie Pseudonymisierung, indem er im [Datenschutzhinweisblatt] auf diese Grundsätze sensibilisiert wird Transparenz Die Produktdokumentationen sind verständlich und aussagekräftig; Datenfluss, Zugriff und Verarbeitung personenbezogener Daten werden transparent dargelegt. Die Webseiten ( und halten die Vorgaben des Telemedienrechts ein, indem Impressum und Datenschutzerklärung leicht abrufbar und inhaltlich korrekt sind. Die IP-Adresse wird nach Aussage der ergovia GmbH und der dortigen Datenschutzerklärung für maximal 24h gespeichert, um Angriffe abwehren zu können. Anschließend wird die IP um die letzten beiden Oktette verkürzt und damit anonymisiert. gehört nicht zum Auditgegenstand. Zwar finden sich hier Informationen zu den Produkten der ergovia GmbH und damit auch zu stepnova. Allerdings ist kein Loginbereich vorhanden. Daher sei nur ergänzend erwähnt, dass diese Webseiten die Anforderungen der Datenschutzaufsichtsbehörden an eine Reichweitenmessung 4 umsetzen, indem eine Information zur Datenerfassung vorhanden ist und eine Widerspruchsmöglichkeit dargeboten wird. Ferner wurde ein Vertrag zur Auftragsdatenverarbeitung diesbezüglich abgeschlossen Zulässigkeit der Datenverarbeitung Teilnehmer-Stammdaten Die Erhebung, Speicherung und Nutzung von Sozialdaten ist gemäß der 67a - c SGB X zulässig, wenn diese zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden gesetzlichen Aufgaben nach dem Sozialgesetzbuch erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ergänzt wird dies durch die für das Sozialrecht geltende Mitwirkungspflicht des Leistungsempfängers nach 60 Abs. 1 SGB und die besondere Mitwirkungspflicht für Teilnehmer an beruflichen Weiterbildungen gemäß 318 SGB III. Die Leistungsempfänger haben danach alle Tatsachen anzugeben, die für die Leistung erheblich sind. Darüber hinaus besteht die Pflicht, Änderungen mitzuteilen sowie auf Nachfrage des Leistungsträgers aussagefähige Beweismittel vorzulegen ( 60 Abs. 1 Ziff SGB I). 4 Z.B. die Hinweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom März 2013, Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen, abrufbar unter oder ähnlich das Bayerische Landesamt für Datenschutzaufsicht, dessen Hinweise abrufbar sind unter Seite 11

12 Ferner müssen Teilnehmer der Erteilung der erforderlichen Auskünfte durch Dritte zuzustimmen. Die Verarbeitung der Teilnehmerstammdaten erfolgt in stepnova Professional, stepnova Basic und stepnova Starter zudem zu arbeitsvertraglichen und steuerrechtlichen Abrechnungszwecken, für die u.a. Konfession und Familienstand eines Teilnehmers erforderlich sind. Dieses Konstrukt ineinander greifender allgemeiner und - für den Bereich der Arbeitsförderung - spezieller Zulässigkeitsregelungen erlaubt die Erhebung, Verarbeitung und Nutzung aller Stammdaten. Der Anwender kann ferner zusätzliche Angaben erfassen und verarbeiten. Hierbei handelt es sich um Daten, die für die Durchführung und Verwaltung der Maßnahme bzw. des Teilnehmers vor einem vertraglichen Hintergrund notwendig sein können (z.b. Bankverbindungsdaten) oder welche Voraussetzung für eine Maßnahmenteilnahme sind (z.b. Sprachkenntnisse). Angaben über Lebenslauf, Noten, Laufbahn, beruflicher Werdegang und berufliche Interessen, Zusatzqualifikationen, Sprachkenntnisse sowie Hobbys und Merkmale können ferner für Bewerbungsverfahren eingesetzt werden. stepnova unterstützt die Einhaltung der Rechtsgrundlagen, indem der Anwender im [Datenschutzhinweisblatt] sensibilisiert wird, das Erfordernis der Datenverarbeitung und die Rechtsgrundlage zu prüfen. Der Anwender wird dabei auch auf die Verarbeitung von besonderen personenbezogenen Daten sensibilisiert: Werden besonders sensitive Daten, wie z.b. Angaben über Konfession oder Gesundheit gespeichert, gelten zudem besondere Datenschutzbestimmungen. stepnova unterstützt Sie bei der Erfüllung der Anforderungen durch eine rechtskonforme Datenverarbeitung. Bitte beachten Sie, dass die Erfassung und Verarbeitung von besonderen personenbezogenen Daten oftmals eine freiwillige, nachweisbare und jederzeit widerrufliche Einwilligung des Betroffenen (bzw. bei Minderjährigen i.d.r. durch die Erziehungsberechtigten) erfordert. Dies kann z.b. bei Dokumentationen über Gesundheitszustand, Handicaps oder Personenfotos der Fall sein. Auch bei der Erfassung und Verarbeitung von Angaben wie Konfession, Familienstand, Hobbys oder Angaben über Kinder von teilnehmenden Personen darf deren Erfassung und Verarbeitung nur in begründeten Ausnahmefällen erfolgen. Die Erfassung von Personenfotos ist nicht Teil der Standardausführung von stepnova und stepfolio ist. Das Modul kann optional freigeschaltet werden, wenn dies Ihr Wunsch ist. Bitte beachten Sie, dass für die Nutzung des Mo-duls eine eingehende Zulässigkeitsprüfung der Erfassung und Verwendung von Personenfotos durch die verantwortliche Stelle notwendig ist. Sofern Sie Fotos direkt mit dem Tablet oder Smartphone aufnehmen, achten Sie bitte auf die im System vorgegebenen Datenschutzmaßnahmen zur Vermeidung von unerwünschten App-Zugriffen und vermeiden Sie, dass Personenfotos zu Clouddiensten hochgeladen werden. Seite 12

13 Rechtsgrundlage für die Übermittlung der Leistungs- und Verhaltensbeurteilung im Rahmen von ist 318 Abs. 2 SGB III. Diese beinhaltet die Beurteilung der Leistung und des Verhaltens des Teilnehmers sowie Anwesenheitsdaten. Diese sind vom Anwender für jeden Teilnehmer anlassbezogen zu erstellen und standardisiert an die Agentur für Arbeit zu übermitteln5. Gemäß 67d Abs. 1 i.v.m. 69 Abs. 1 Nr. 1 SGB X ist eine Übermittlung von Sozialdaten zudem zulässig, soweit sie erforderlich ist, für die Erfüllung der Zwecke, für die sie erhoben worden sind oder für die Erfüllung einer gesetzlichen Aufgabe der übermittelnden Stelle nach diesem Gesetzbuch oder einer solchen Aufgabe des Dritten, an den die Daten übermittelt werden, wenn er eine in 35 des Ersten Buches genannte Stelle ist. Die Übermittlung von Sozialdaten an die Agentur für Arbeit lässt sich ferner über 69 Abs. 1 Nr. 1 Alt. 1 SGB X rechtfertigen. Eine Ausnahme hiervon sieht indes 76 Abs. 2 Nr. 1 SGB X für Sozialdaten vor, die bei Begutachtung wegen der Erbringung von Sozialleistungen oder wegen der Ausstellung einer Bescheinigung übermittelt werden, es sei denn, dass der Betroffene der Übermittlung widerspricht; der Betroffene ist von der verantwortlichen Stelle zu Beginn des Verwaltungsverfahrens schriftlich auf das Widerspruchsrecht hinzuweisen. Im stepnova Arbeitsbereich em@w kann daher anhand einer Checkbox vermerkt werden, ob eine Einwilligung bzw. ein Widerspruch gegen eine Datenübermittlung vorliegt oder nicht. stepfolio Kindertagesstätten dürfen personenbezogene Daten gemäß 24 SGB VIII verarbeiten, um Kindern den Besuch einer Tageseinrichtung zu ermöglichen. Landesspezifische Regelungen, wie der 12 des Nordrhein-Westfälischen KiBiz 6, ergänzen die Rechtsgrundlagen einer Datenerfassung und Verarbeitung: Danach darf der Anwender Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen, Vornamen und Anschriften der Eltern sowie weitere kindbezogenen Daten, die zur Erfüllung seiner Aufgaben nach diesem Gesetz erforderlich sind, erheben und speichern. In Schleswig-Holstein ist das Gesetz zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen (Kindertagesstättengesetz - KiTaG)7 anwendbar. Dieses sieht bis auf 5 Abs. 6 KiTaG im Rahmen der Entwicklungsbestandserfassung von Kindern im Rahmen der Zusammenarbeit von Kindertagesstätten mit Schulen keine speziellen Regelungen für die Datenverarbeitung vor, so dass hier die allgemeinen Bestimmungen des LDSG S-H für Träger der öffentlichen Hand bzw. das BDSG für private Träger anwendbar sind. 5 Vgl. hierzu auch die Hinweise der Agentur für Arbeit unter Qualifizierung/A052-Arbeitnehmer/Publikation/pdf/eMaw-fachliches-Infopaket.pdf, Abschnitt Artikel 3 des Gesetzes zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz - KiBiz) - Viertes Gesetz zur Ausführung des Kinder- und Jugendhilfegesetzes - SGB VIII - vom 30. Oktober 2007 (GV. NRW. S. 462). 7 Gesetz zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen (Kindertagesstättengesetz - KiTaG) v (GVOBl. Schl.-H 1991, S. 651), zuletzt geändert durch Gesetz v (GVOBL. Schl.-H 2013, S. 466). Seite 13

14 Soweit in stepfolio besondere personenbezogene Daten verarbeitet werden, ist dies gemäß 11 Abs. 3 Nr. 1 LDSG S-H zulässig, sofern hierfür eine Einwilligung des Betroffenen vorliegt. Ist der Betroffene unter 12 Jahren oder minderjährig und nicht einsichtsfähig, ist eine Einwilligung der Erziehungsberechtigten einzuholen. Auch hier wird der Anwender durch das [Datenschutzhinweisblatt] sensibilisiert (vgl. den Text dazu oben). Beurteilungen, Entwicklungsstände, Leistungsdaten 93 Abs. 3 i.v.m. 318 Abs. 2 letzter Halbsatz SGB III normierten die Pflicht des Leistungsträgers, dem Arbeitsamt Beurteilungen über den Erfolg der Maßnahme zu übermitteln. Ebenfalls zulässig ist die Verarbeitung von Daten, durch die leistungsrechtlich erheblichen Sachverhalte dokumentiert werden, also alle maßnahmebegleitenden Daten, die unmittelbar etwas über den Erfolg der Maßnahme aussagen. Diese Daten werden neben dem Arbeitsbereich em@w vor allem in den Arbeitsbereichen LuV, Beratung und Portfolio verarbeitet. Im Einsatzbereich von stepfolio können Entwicklungsstände und Förderungen gemäß 5 Abs. 6 Satz 3 und 4 des Gesetzes zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen erfasst und verarbeitet werden, wobei allgemeine datenschutzrechtliche Bestimmungen des LDSG S-H für Träger der öffentlichen Hand bzw. das BDSG für private Träger zur Anwendung kommen. Dabei kann die Dokumentation über Fortschritte und Entwicklungen in stepnova auch als Foto der Person hinterlegt werden. Diese Funktion kommt vornehmlich bei stepfolio zum Einsatz, indem dort KiTas Kinderfotos hinterlegen können. Bei Namensähnlichkeiten von Kindern dient dies oft auch als Unterscheidung für die Erzieher. Die Personenfotos werden nur einem kleinen berechtigten Kreis zur Einsicht zur Verfügung gestellt und nicht veröffentlicht, so dass das Kunsturhebergesetz keine Anwendung findet. Gleichwohl kann eine Einwilligung (der Erziehungsberechtigten) erforderlich sein. Hervorzuheben ist, dass es sich bei der Funktion zur Erfassung und Verarbeitung von Kinderfotos um ein optionales Modul handelt, welches nicht in der Standardausführung des Produkts enthalten ist. Zudem wird der Anwender im [Datenschutzhinweisblatt] auf den rechtskonformen Umgang mit Personenfotos und eine strenge Prüfung zur Freischaltung des Moduls sensibilisiert. Zusätzlich enthält das [Datenschutzhinweisblatt] noch einen Hinweis darauf, dass schon bei der Erstellung der Fotos darauf geachtet werden muss, dass diese nicht unerwünscht zu Clouddiensten hochgeladen werden (siehe den oben dazu aufgeführten Text des Hinweisblattes). Besondere personenbezogene Daten Soweit Daten über den Gesundheitszustand, eine Behinderung oder die Konfession aufgenommen werden, handelt es sich um besondere Daten gemäß 67 Abs. 12 SGB X bzw. 3 Abs. 9 BDSG / 11 Abs. 3 LDSG S-H. Die Zulässigkeit der Datenverarbeitung ergibt sich ausnahmsweise - aus 67a Abs. 1 SGB X, denn für die erfolgreiche Vermittlung von Teilnehmern an Betriebe muss der Vermittelnde vorab darüber Kenntnis haben, ob der Betreffende ohne jegliche Einschränkung beruflich einsetzbar ist oder ob gesundheitliche Einschränkungen bestehen, die eine Einsetzbarkeit Seite 14

15 verhindern. Dies lässt sich vom Umfeld der beruflichen Bildungsmaßnahmen auch auf den Betrieb von Kindertagesstätten übertragen. Hier ist bei kirchlich organisierten Betrieben die Konfession für eine Zuordnung relevant. Ferner müssen Erzieher und Betreuer Kenntnisse über den Gesundheitszustand (z.b. Allergien) und Behinderungen haben, um das Kind umfangreich versorgen und Gefahren für Leib und Leben abwenden zu können. Greifen diese Rechtsgrundlagen nicht, ist eine Einwilligung einzuholen. Der Anwender wird im [Datenschutzhinweisblatt mit dem oben aufgeführten Satz sensibilisiert. Vermerke und Freitextfelder Vermerke sind erforderlich, um bei Bedarf Zusatzinformationen über einen Teilnehmer eintragen zu können, welche nicht über fest formatierte Felder zu tätigen sind, aber dennoch im Rahmen einer ganzheitlichen Fallbearbeitung benötigt werden. Auch hier unterstützen das abstufbare Berechtigungskonzept, die Anonymisierungsfunktion sowie die Dokumentation [Hinweise_Freitextfelder] den zulässigen Umgang mit Daten. Personal- bzw. Beschäftigtendaten Die Verarbeitung von Daten der Beschäftigten bzw. des Personals erfolgt gemäß 32 BDSG bzw. i.v.m. 11 Abs. 1 Nr. 2 und Nr. 3 LDSG S-H zur Durchführung des Arbeitsverhältnisses und der vertraglich zu erbringenden Leistungen. Die Verarbeitung der Logdaten ist ebenfalls zulässig. Sie beruht auf der ordnungsgemäßen Erfüllung der Auftragsdatenverarbeitung durch die ergovia GmbH und stützt sich damit auf eine vertragliche Grundlage Zweckbindung, Trennungsgebot Die mittels stepnova verarbeiteten Daten werden nicht für andere Zwecke als für die berufliche Bildung und Maßnahmeabwicklung bzw. für die Organisation von Kindertagesstätten im Rahmen der gesetzlichen Vorgaben eingesetzt. Auch hier unterstützen das abstufbare Berechtigungskonzept, die Anonymisierungsfunktion sowie das Dokument [Hinweise_Freitextfelder] den zweckgebundenen Umgang. Das Trennungsgebot ist in vollem Umfang sichergestellt, da personenbezogene Daten ausschließlich vom Anwender für die ihm obliegenden Zwecke verarbeitet werden. Lizenzen und Datenbanken pro Anwender sind systemseitig getrennt Mandanten sind anhand der ID des Kundendatensatzes als Attribut an jedem Datensatz getrennt. Daten, die allen Mandanten zur Verfügung gestellt werden und für die Mandanten unveränderbar sind (z.b. Nationen und Berufe) werden mit der KundenID 0 gespeichert, wobei die 0 nicht Teil des ID-Generators ist Auftragsdatenverarbeitung Die ergovia GmbH führt Datenverarbeitung im Auftrag gemäß 80 SGB X, 11 BDSG bzw. 17 LDSG S-H durch. Die ergovia GmbH hält für Anwender als Muster einen Lizenzvertrag zur Verfügung, welcher einheitliche Regelungen zur Auftragsdatenverarbeitung enthält. Seite 15

16 Es sind keine Anhaltspunkte dafür ersichtlich, dass eine Auftragsdatenverarbeitung für Anwender von stepnova unzulässig sein könnte. Nach 80 Abs. 5 SGB X ist die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nichtöffentliche Stellen allerdings nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Das Vorliegen dieser Voraussetzungen kann aber nur durch den Anwender selbst geprüft und umgesetzt werden. Im [Datenschutzhinweisblatt] wird auf die Auftragsdatenverarbeitung und die sozialrechtlichen Bestimmungen hingewiesen. Die Kontrolle der Auftragsdatenverarbeitung wird unterstützt durch die Beschreibung technisch-organisatorischer Maßnahmen im Vertragswerk und transparente Produktbeschreibungen. Auch die von der ergovia GmbH eingesetzten Subunternehmer sind vertraglich gemäß 80 Abs. 2 SGB X, 11 BDSG und 17 LDSG S-H auf die Einhaltung des Datenschutzes im Rahmen der Auftragsdatenverarbeitung verpflichtet worden und werden regelmäßig kontrolliert Authentizität, Integrität und Vertraulichkeit Zugang zu personenbezogenen Daten im Rahmen von Wartungsarbeiten hat ausschließlich die ergovia GmbH. Die Dienstleister MARE System und NetUSE AG haben diesen nicht. Dennoch sind auch hier wirksame Maßnahmen etabliert, um einen unbefugten Zugang zu den Systemen von stepnova zu verhindern. Berechtigungen sind sehr restriktiv vergeben, so dass die Anzahl der Mitarbeiter mit Berechtigungen für die Systeme auf das Notwendige begrenzt wird. Hervorzuheben ist, dass zwischen der ergovia GmbH und der NetUSE AG vertraglich eine Mindestlänge der Passwörter von 10 Stellen verbindlich geregelt ist. Diese Passwörter der berechtigten Mitarbeiter der NetUSE AG werden in einem elektronischen PasswortSafe hinterlegt. Zugriff auf den PasswortSafe ist nur über verschlüsselte Protokolle möglich und ist ebenfalls gesichert. Zugriffe durch Ergovia werden revisionssicher gespeichert. Zugriffe erfolgen stets über eine SSH-Verbindung über den Jumpserver. Die Dienstleister MARE System und NetUSE AG haben ausschließlich Zugriff auf die Loadbalancer und die Tomcat-Server. Zugriff auf die Datenbankserver hat ausschließlich ergovia. Fernzugriffe zu Wartungszwecken werden einmalig eingeräumt und auf Server beschränkt, auf denen Wartungs- bzw. Reparaturarbeiten ausgeführt werden müssen, welche die ergovia GmbH nicht selbst durchführen kann. Die ergovia GmbH bekommt nach Abschluss der Arbeiten ein Tätigkeitsprotokoll. Der Wartungsvorgang kann durch die ergovia GmbH jederzeit abgebrochen werden. Die für die Fernwartung verwendeten NetUSE AG-Notebooks sind mit einer Festplattenverschlüsselung versehen. Der Fernzugriff erfolgt mittels verschlüsselter Verbindungen (IPsec-VPN, SSL-VPN, SSH) in das Intranet des NetUSE AG und von dort per SSH auf den Jumpserver. Seite 16

17 stepnova wird mit einem angelegten Benutzer, dem Anwender-Administrator ausgeliefert. Das Initialpasswort dieses Benutzers wird von der ergovia GmbH erzeugt und per dem Anwender mitgeteilt. Diese enthält weder den Benutzernamen noch die Kundennummer. Das Initialpasswort muss nach dem ersten erfolgreichen Login geändert werden. Benutzer müssen sich am Web-Portal mit drei Werten authentisieren: Seite Kundennummer --- Benutzername und --- Passwort Dabei ist die Kundennummer ein numerischer, 6-10-stelliger von der ergovia GmbH vergebener Wert, der Benutzername ein vom Benutzer frei wählbarer Name und das auswählbare Passwort muss ein mindestens 8-Stelliges Kennwort mit Sonderzeichen, Zahlen, Klein- und Großschreibung sein. Es besteht keine Passworthistorie. Bei der Kennwortänderung kann das aktuell verwendete Kennwort jedoch nicht erneut verwendet werden. Der Anwenderadministrator kann in den Optionen eine Gültigkeitsdauer für Kennworte festlegen. Im Auslieferungszustand steht diese Option auf halbjährlich. Bei Erreichen des Gültigkeitsendes des Kennworts wird der Anwender zur Änderung des Kennworts gezwungen, in dem jeder Link auf die Kennwort ändern -Seite leitet. Ferner hat der Benutzer die Möglichkeit im Hauptmenü sein Passwort zu ändern, sofern er nicht die LDAP-Funktion nutzt. Hierzu muss der Benutzer sein altes Kennwort eingeben und zweimal das neue. Es muss mindestens 8 Stellen lang sein. Dabei wird dem Benutzer während der Eingabe die Qualität seines Kennwortes angezeigt. Es wird weiterhin technisch verhindert, dass dasselbe Passwort wiederverwendet wird. Die relativ niedrige Mindestkennwortlänge ist in Hinblick auf die Zielgruppe gewählt worden. Durch die Anzeige wird der Benutzer aber deutlich darauf hingewiesen, wenn er sich bewusst für ein schwaches Kennwort entscheidet, so dass aus Sicht der Auditoren die Umsetzung noch als angemessen bewertet werden kann. Alternativ ist zudem über die Nutzung des LDAP-Moduls möglich, dass der Anwender sich gegenüber stepnova mit Domänen-Namen und Passwort anmeldet. In diesem Fall ist die Qualität des Passwortes in der Verantwortung des Anwenders. Falls der LDAP-Server nicht erreichbar ist, bietet stepnova als Fallback an, die Passwörter genauso wie die übrigen Passwörter verschlüsselt (SHA MD5 - Kennwort im Klartext + Salt) zu speichern, so dass die Anmeldung an das System gewährleistet bleibt. Die Schnittstellen von stepnova nutzen stets verschlüsselte Protokolle. Für das Webportal werden Zertifikate mit RSA-2048 verwendet, wodurch die Authentizität, Integrität und die Vertraulichkeit der übertragenen Daten gewährleistet wird. Der Webserver unterstützt bereits TLS 1.2 mit ECDHE und AES-128, so dass bei Unterstützung durch den Browser eine SSL-Variante genutzt werden kann, die nicht anfällig ist gegen die derzeit bekannten Schwachstellen von SSL. Die Backups der Datenbanken werden mit gpg verschlüsselt. Hierbei wird ein hybrides Verfahren aus Elgamal-2048 und AES-256 verwendet. Der private key liegt im Passworttresor der Technikabteilung der ergovia GmbH und ist somit nur durch

18 diese zugreifbar. Der public key wird für die Verschlüsselung per Skript im Zuge des Backups verwendet und liegt auf den Datenbankservern. Administratoren melden sich per SSH mit Zertifikats-Authentisierung (RSA-2048 bit) am Jumpserver an. Dieser authentisiert sich gegenüber den Systemen wiederum mit eigenen SSH-Zertifikaten. Die Nutzung von LDAP durch den Anwender wird über einen VPN-Tunnel angeboten, über den die Vertraulichkeit gewährleistet wird Verfügbarkeit Die stepnova-server werden im Rechenzentrum der NetUSE AG in Kiel betrieben, welches regelmäßig auf der Grundlage von 109 TKG von der Bundesnetzagentur auditiert wird. Die NetUSE AG übernimmt den Schutz des Webservers durch Administration und Kontrolle des Firewall. Die Hardware und Einsatzumgebung ist auf hohe Zuverlässigkeit und Minimalisierung von Ausfällen ausgerichtet (z.b. durch den Einsatz von Loadbalancern). Zudem ermöglicht der modulare Aufbau der Server die Skalierbarkeit und Verfügbarkeit auch bei ansteigender Systemnutzung. Die Verfügbarkeit der Daten gewährleistet ein Backupkonzept. Die Backups werden verschlüsselt gespeichert Vorabkontrolle, Verfahrensverzeichnis, Datenschutzbeauftragter Die ergovia GmbH unterstützt den Anwender auf Anfrage bei der Vorabkontrolle sowie bei der Erstellung eines Verfahrensverzeichnisses. Im Lizenzvertrag sind Kontrollen und die Beteiligung des Datenschutzbeauftragten explizit vorgesehen. Anwender können sich im Hinblick auf Fragen zur Umsetzung von Datenschutz und Datensicherheit bei stepnova an die ergovia GmbH direkt richten und erhalten fachkundige Auskünfte Pflichten nach DSVO Die ergovia GmbH bietet für den Anwender transparente Dokumentationen zum Produkt sowie zur Umsetzung der Datensicherheit und des Datenschutzes, aus denen wesentliche Informationen für eigene Dokumentationspflichten gemäß DSVO entnommen werden können. Zudem stellt die ergovia GmbH jederzeit fachlich geeignete Ansprechpartner für die Anleitung des Anwenders zur Verfügung Datenschutzrechte der Betroffenen Die Rechte der Betroffenen auf Information, Auskunft, Benachrichtigung, Berichtigung falscher Angaben, Löschung und Sperrung sowie auf Widerspruch werden durch stepnova auf vielfältige Weise gefördert, etwa indem Datenverarbeitungsvorgänge und Verantwortlichkeiten verständlich beschrieben sind. Die zu einem Teilnehmer erhobenen Daten können durch Ausdrucke dem Betroffenen zugänglich gemacht werden. Damit unterstützt stepnova das in 33 BDSG, 27 LDSG SH und 83 SGB X geregelte Auskunftsrecht. Berichtigung und Löschung von Daten können durch den berechtigten Anwender manuell erfolgen. Im Übrigen werden Teilnehmerdaten anhand definierter Fristen (i.d.r. 24 Monate) gelöscht. Dies entspricht den Anforderungen der Bundesagentur Seite 18

19 für Arbeit, welche in den Vertragsbedingungen und verbindlichen Leistungsbeschreibungen Fristen vorgeben. stepnova verfügt zudem über systemseitige Möglichkeit von Vermerken in einer anklickbaren Checkbox über das Vorliegen einer Einwilligung für Datenübermittlungen im Rahmen von Dadurch können Einwilligungen und Widersprüche jederzeit nachvollzogen werden Gesamtbewertung im Überblick Für stepnova, Version 4, ergibt sich danach folgende Gesamtbewertung: Nr. Anforderungsprofil Bewertung / Kommentar Datenart A (Primärdaten): A1 Datensparsamkeit Angemessen A2 Löschen, Anonymisieren, Pseudonymisieren Angemessen A3 Transparenz Angemessen A4 Sonstige Anforderungen Angemessen A5 Zulässigkeit Angemessen A6 Datenschutzgrundsätze Angemessen A7 Auftragsdatenverarbeitung Angemessen A8 Besondere technischer Verfahren Nicht anwendbar A9 Sonstige Anforderungen Angemessen A10 Zutritts- und Zugangskontrolle Angemessen A11 Zugriffskontrolle Vorbildlich A12 Protokollierung Angemessen A13 A14 Weitere technisch-organisatorische Maßnahmen Vorabkontrolle, Verfahrensverzeichnisses Datenschutzbeauftragter Vorbildlich Angemessen A15 Spezifische Pflichten Nicht anwendbar A16 Pflichten nach DSVO Angemessen A17 Sonstige spezifische Anforderungen Nicht anwendbar A18 Betroffenenrechte Angemessen A19 Sonstige Anforderungen Angemessen Datenart B (Sekundärdaten): B1 Datensparsamkeit Angemessen B2 Löschen, Anonymisieren, Pseudonymisieren Angemessen Seite 19

20 B3 Transparenz Angemessen B4 Sonstige Anforderungen Nicht anwendbar B5 Zulässigkeit Angemessen B6 Datenschutzgrundsätze Angemessen B7 Auftragsdatenverarbeitung Angemessen B8 Besondere technischer Verfahren Nicht anwendbar B9 Sonstige Anforderungen Nicht anwendbar B10 Zutritts- und Zugangskontrolle Angemessen B11 Zugriffskontrolle Vorbildlich B12 Protokollierung Nicht anwendbar B13 B14 Weitere technisch-organisatorische Maßnahmen Vorabkontrolle, Verfahrensverzeichnisses Datenschutzbeauftragter Nicht anwendbar Angemessen B15 Spezifische Pflichten Nicht anwendbar B16 Pflichten nach DSVO Angemessen B17 Sonstige spezifische Anforderungen Nicht anwendbar B18 Betroffenenrechte Angemessen B19 Sonstige Anforderungen Nicht anwendbar Förderung des Datenschutzes: Das IT-Produkt fördert den Datenschutz insgesamt auf angemessene Weise 12. Beschreibung, wie das IT-Produkt den Datenschutz fördert Das IT-Produkt fördert den Datenschutz auf vielfältige Weise: --- Differenziertes Rollen-und Berechtigungskonzept. --- Hohe Zugriffssicherheit durchkomplexe Passwörter --- Hohe Sicherheit durch Unterstützung von TLS 1.2 für den Zugang über das WepPortal. Seite 20